SPHIOR Logo
SPHIOR
セキュリティ & トラスト

お客様のデータ保護は 私たちの最優先事項です

SPHIOR はセキュリティファーストのアーキテクチャで構築されています。セキュリティプラクティス、コンプライアンスロードマップ、サブプロセッサ一覧を公開し、導入前に信頼性を評価いただけるようにしています。

SOC 2

Type I 準備中

TLS 1.2+

全通信暗号化

AES-256

保存データ暗号化

GDPR

DPA 対応

セキュリティポスチャー

お客様のデータをどう保護しているか

通信暗号化

全通信を TLS 1.2 以上で暗号化。HTTP は自動的に HTTPS へリダイレクト。HSTS ヘッダーを強制適用。

保存データの暗号化

全ての保存データを AES-256 で暗号化。データベースバックアップとオブジェクトストレージ(R2)はプロバイダー管理の暗号化キーを使用。

アクセス制御(RLS)

行レベルセキュリティによりデータベース層でテナント分離を実現。各顧客は自社データのみにアクセス可能。管理エンドポイントは MFA 保護。

認証情報の保護

Enterprise 認証スキャンでは AES-GCM 256bit のクライアントサイド暗号化と HKDF ベースの二層鍵アーキテクチャを使用。平文の認証情報はスキャン実行時のみメモリ上に存在し、完了後に即時破棄。

隔離スキャン環境

セキュリティスキャナーは一時的なコンテナ(AWS Lambda + Fargate)で実行され、各スキャン後に破棄。スキャン間で永続的な状態は保持しません。

継続的モニタリング

インフラ稼働状況、スキャンパイプラインのステータス、エラー率を 24/7 モニタリングし、異常を自動アラート。

セルフ監査

SPHIOR は自社プロダクトで毎月、自社を監査しています

SPHIOR は、顧客に提供しているものとまったく同じ自動セキュリティスキャンを自社の本番インフラに対して実行しています。毎月、本番ドメイン(sphior.app)に対して外部脆弱性診断と認証後脆弱性診断を実施し、顧客と同じ構造化レポートにまとめています。

つまり SPHIOR は監査する側でもあり、監査される側でもあります。自社プロダクトを自ら使い、品質を証明しています。重大な所見は 30 日以内に修正。スキャンエンジンが正確で実用的な結果を出し続けていることの継続的な保証となります。

月次スキャン対象sphior.app
診断範囲外部脆弱性診断 + 認証後脆弱性診断
重大所見 SLA< 30 日
レポート形式顧客レポートと同一
頻度毎月(自動)
インシデント対応

定義された SLA に基づく体系的な対応プロセス

01

検知 & トリアージ

自動監視により異常を検知。オンコールエンジニアが重大度を評価。

SLA: < 1 時間
02

封じ込め

影響を受けたシステムを隔離。侵害された認証情報を失効。フォレンジック証拠を保全。

SLA: < 4 時間
03

顧客通知

影響を受けた顧客に影響範囲と推奨アクションを通知。

SLA: < 72 時間
04

修復 & ポストモーテム

根本原因分析、恒久的な修正のデプロイ、インシデント後レビューの公開。

SLA: < 30 日
データ保持・消去ポリシー

明確な保持期間と削除権

データ種別保持期間
スキャン結果13 ヶ月
PDF レポート13 ヶ月
データベースバックアップ7 日間 PITR
一時スキャンペイロード0 — 即時破棄
アカウント削除時30 日
監査ログ12 ヶ月
サブプロセッサ

データを処理する第三者プロバイダー

サブプロセッサの数を最小限に抑え、統合前に各プロバイダーのセキュリティポスチャーを慎重に評価しています。このリストはサブプロセッサの追加・削除時に更新されます。

プロバイダー用途所在地
Database Providerデータ保存・認証・アクセス制御US
CDN & Edge Providerコンテンツ配信・エッジコンピュート・暗号化オブジェクトストレージ・DDoS防御Global
Application Hostアプリケーションホスティングとリクエスト処理Global (Edge)
Cloud Infrastructure隔離された一時コンテナでのセキュリティスキャナー実行Asia-Pacific (Tokyo)
Payment Processor決済処理・サブスクリプション課金・請求書発行US / EU
AI ProviderAIレポート生成(テキスト分析のみ。顧客PIIは送信しません)US
Email Deliveryトランザクションメール配信(月次レポート・アラート)US
脆弱性開示ポリシー

責任ある開示ポリシー(VDP)

SPHIOR のサービスにおける脆弱性の報告を歓迎します。報告の受領を 3 営業日以内に確認し、10 営業日以内に初期評価を提供し、確認された脆弱性を 90 日以内に修正することをお約束します。

対象範囲

対象

sphior.app, app.sphior.app, API endpoints

応答 SLA

受領確認 < 3 日、評価 < 10 日

修正 SLA

重大 < 30 日、高 < 60 日、その他 < 90 日

セーフハーバー

善意のリサーチャーに対して法的措置は取りません

データ処理契約

DPA を自動生成

GDPR / CCPA / APPI に対応した DPA を自動生成します。以下のフォームに入力すると、署名済み PDF が発行されます。

最終更新: 2025-05-13

セキュリティに関するご質問は security@sphior.com までお問い合わせください